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前 高 


本 标准 等 同 采用 ISO/IEC 27001:2005《 信 息 技 术 安全 技术 ”信息 安全 管理 体系 ”要 求 》, 仅 有 编 
辑 性 修改 。 

本 标准 的 附录 A 是 规范 性 附录 ,附录 B 和 附录 C 是 资料 性 附录 。 

本 标准 由 中 华人 民 共 和 国信 息 产业 部 提出 。 

本 标准 由 全 国信 息 安全 标准 化 技术 委员 会 归口 。 

本 标准 由 中 国电 子 技术 标准 化 研究 所 .上 海 三 零 卫士 有 限 公 司 .北京 知识 安全 工程 中 心 .北京 市 信 
息 安 全 测评 中 心 .北京 数字 认证 中 心 负责 起 草 。 

本 标准 主要 起 草 人 :上 官 晓 丽 、 许 玉 娜 、 胡 哺 、 王 新 杰 、 赵 战 生 、 王 连 强 、 曾 波 、 筷 一 童 .刘海 峰 、 
汤 永 利 . 尚 小 觅 、 闵 京华 。 
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了 


引 


0.1 总 则 


本 标准 用 于 为 建立 .实施 、 运 行 、 监 视 、 评 审 、 保 持 和 改进 信息 安全 管理 体系 (Information Security 
Management System, 简 称 ISMS) 提 供 模 型 。 采 用 ISMS 应 当 是 一 个 组 织 的 一 项 战略 性 决策 。 一 个 组 
织 ISMS 的 设计 和 实施 受 其 需要 和 目标 、 安 全 要 求 、 所 采用 的 过 程 以 及 组 织 的 规模 和 结构 的 影响 ,上 述 
因素 及 其 支持 系统 会 不 断 发 生变 化 。 按 照 组 织 的 需要 实施 ISMS 是 本 标准 所 期 望 的 ,例如 ,简单 的 情况 
可 采用 简单 的 ISMS 解决 方案 。 

本 标准 可 被 内 部 和 外 部 相关 方 用 于 一 致 性 评估 。 

0.2 ”过程 方法 

本 标准 采用 过 程 方法 来 建立 .实施 .运行 .监视 .评审 .保持 和 改进 组 织 的 ISMS。 

为 使 组 织 有 效 运作 ,需要 识别 和 管理 众多 相互 关联 的 活动 。 通 过 使 用 资源 和 管理 ,将 输入 转化 为 输 
出 的 活动 可 视 为 过 程 。 通 常 ,一 个 过 程 的 输出 直接 形成 下 一 个 过 程 的 输入 。 

组 织 内 诸 过 程 的 系统 的 应 用 ,连同 这 些 过 程 的 识别 和 相互 作用 及 其 管理 ,可 称 之 为 “过程 方 法 ”。 

本 标准 中 提出 的 用 于 信息 安全 管理 的 过 程 方法 鼓励 其 用 户 强 调 以 下 方面 的 重要 性 : 

a) ”理解 组 织 的 信息 安全 要 求 和 建立 信息 安全 方针 与 目标 的 需要 ; 

b) 从 组 织 整体 业务 风险 的 角度 ,实施 和 运行 控制 措施 ,以 管理 组 织 的 信息 安全 风险 ; 

c) ”监视 和 评审 ISMS 的 执行 情况 和 有 效 性 ; 

d) 基于 客观 测量 的 持续 改进 。 

本 标准 采用 了 “规划 (Plan) 一 实施 (Do) 一 检查 (Check) 一 处 置 (Act)”(PDCA) 模 型 ,该 模型 可 应 用 
于 所 有 的 ISMS 过 程 。 图 1 说 明了 ISMS 如 何 把 相关 方 的 信息 安全 要 求 和 期 望 作 为 输入 ,并 通过 必要 

的 行动 和 过 程 ,产生 满足 这 些 要 求 和 期 望 的 信息 安全 结果 。 图 1 也 描述 了 第 4 章 、 第 5 章 、 第 6 章 、 
第 7 章 和 第 8 章 所 提出 的 过 程 间 的 联系 。 
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图 1 应 用 于 JSMS 过 程 的 PDCA 模型 
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采用 PDCA 模型 还 反映 了 治理 信息 系统 和 网 络 安全 的 OECD 指南 (2002 版 六 中 所 设置 的 原则 。 
本 标准 为 实施 OECD 指南 中 规定 的 风险 评估 、 安 全 设计 和 实施 、 安 全 管理 和 再 评估 的 原则 提供 了 一 个 
强健 的 模型 。 
例 1: 某 些 信息 安全 违规 不 至 于 给 组 织造 成 严重 的 财务 损失 和 /或 使 组 织 陷入 困境 。 这 可 能 是 一 种 
例 2: 如 果 发 生 了 严重 的 事件 (可 能 是 组 织 的 电子 商务 网 站 被 黑客 人 侵 ) 应 有 经 充分 培训 的 员工 按 
照 适 当 的 规程 ,将 事件 的 影响 降 至 最 小 。 这 可 能 是 一 种 期 望 。 
建立 与 管理 风险 和 改进 信息 安全 有 关 的 ISMS 方针 、 月 标 、 
过 程 和 规程 ,以 提供 与 组 织 总 方针 和 总 目标 相 一 致 的 结果 。 
(实施 和 运行 ISMS) 实施 和 运行 ISMS 方针 、 控 制 措施 、 过 程 和 规程 。 
对 照 ISMS 方针 、 目 标 和 实践 经 验 ,评估 并 在 适当 时 测量 过 
程 的 执行 情况 ,并 将 结果 报告 管理 者 以 供 评审 。 
基于 ISMS 内 部 审核 和 管理 评审 的 结果 或 者 其 他 相关 信 
息 , 采 取 纠 正和 预防 措施 ,以 持续 改进 ISMS。 


规划 (建立 ISMS) 








检查 (监视 和 评审 ISMS) 








处 置 (保持 和 改进 ISMS) 








0.3 与 其 他 管理 体系 的 兼容 性 


本 标准 与 GB/T 19001 一 2000 及 GB/T 24001 一 2004 相 结合 ,以 支持 与 相关 管理 标准 一 致 的 .整合 
的 实施 和 运行 。 因 此 ,一 个 设计 恰当 的 管理 体系 可 以 满足 所 有 这 些 标准 的 要 求 。 表 C. 1 说 明了 本 标 
准 、.GB/T 19001 一 2000 和 GB/T 24001 一 2004 的 各 条 款 之 间 的 关系 。 

本 标准 的 设计 能 够 使 一 个 组 织 将 其 ISMS 与 其 他 相关 的 管理 体系 要 求 结 合 或 整合 起 来 。 








1) OECD 信息 系统 和 网 络 安 全 指南 面向 安全 文化 。 巴黎:OECD,2002 年 7 月 。www. oecd. org 


GB/T 22080 一 2008/ISOVIEC 27001:2005 


信息 技术 ”安全 技术 
信息 安全 管理 体系 ”要求 


重要 提示 :本 出 版 物 不 声称 包括 一 个 合同 所 有 必要 的 条 款 。 用 户 负 责 对 其 进行 正确 的 应 用 。 符 合 
标准 本 身 并 不 获得 法 律 责任 的 座 免 。 


1 范围 


1.1 总 则 

本 标准 适用 于 所 有 类 型 的 组 织 ( 例 如 ,商业 企业 、 政 府 机 构 、 非 赢利 组 织 )。 本 标准 从 组 织 的 整体 业 
务 风 险 的 角度 ,为 建立 、 实 施 、 运 行 、 监 视 、 评 审 、 保 持 和 改进 文件 化 的 信息 安全 管理 体系 (ISMS) 规 定 了 
要 求 。 它 规定 了 为 适应 不 同 组 织 或 其 部 门 的 需要 而 定制 的 安全 控制 措施 的 实施 要 求 。 

ISMS 的 设计 应 确保 选择 适当 和 相宜 的 安全 控制 措施 ,以 充分 保护 信息 资产 并 给 予 相 关 方 信心 。 

注 1: 本 标准 中 的 “业务 ”一 词 应 广义 的 解释 为 关系 一 个 组 织 生存 的 核心 活动 。 

注 2: GB/T 22081 一 2008 提供 了 设计 控制 措施 时 可 使 用 的 实施 指南 。 
1.2 应 用 

本 标准 规定 的 要 求 是 通用 的 ,适用 于 各 种 类 型 .规模 和 特性 的 组 织 。 组 织 声称 符合 本 标准 时 ,对 于 
第 4 章 . 第 5 章 . 第 6 章 . 第 7 章 和 第 8 章 的 要 求 不 能 删 减 。 

为 了 满足 风险 接受 准则 必要 的 进行 的 任何 控制 措施 的 删 减 ,必须 证 明 是 合理 的 , 且 需 要 提供 证 据 证 
明 相关 风险 已 被 负责 人 员 接 受 。 除 非 删 减 不 影响 组 织 满足 由 风险 评估 和 适用 法 律 法 规 要 求 所 确定 的 安 
全 要 求 的 能 力 和 /或 责任 ,否则 不 能 声称 符合 本 标准 。 

注 : 如 果 一 个 组 织 已 经 有 一 个 运转 着 的 业务 过 程 管理 体系 (例如 ,与 GB/T 19001 一 2000 或 者 GB/T 24001 一 2004 

相关 的 ) ,那么 在 大 多 数 情况 下 ,更 可 取 的 是 在 这 个 现 有 的 管理 体系 内 满足 本 标准 的 要 求 。 


2 规范 性 引用 文件 


下 列 文件 中 的 条 款 通过 本 标准 的 引用 而 成 为 本 标准 的 条 款 。 凡 是 注 日 期 的 引用 文件 ,其 随后 所 有 
的 修改 单 (不 包括 勤 误 的 内 容 ) 或 修订 版 均 不 适用 于 本 标准 ,然而 ,鼓励 根据 本 标准 达成 协议 的 各 方 研 究 
是 否 可 使 用 这 些 文件 的 最 新 版 本 。 凡 是 不 注 日 期 的 引用 文件 ,其 最 新 版 本 适用 于 本 标准 。 
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3 术语 和 定义 


下 列 术语 和 定义 适用 于 本 标准 。 
3. 1 
资产 asset 
对 组 织 有 价值 的 任何 东西 。 
LISO/IEC 13335-1 :2004] 
3.2 
可 用 性 availability 
根据 授权 实体 的 要 求 可 访问 和 利用 的 特性 。 
LISO/IEC 13335-1:2004] 
3.3 
保密 性 ”confidentiality 
信息 不 能 被 未 授权 的 个 人 、 实 体 或 者 过 程 利用 或 知悉 的 特性 。 
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[LISO/IEC 13335-1:2004] 
3. 4 
信息 安全 information security 
保持 信息 的 保密 性 .完整 性 .可 用 性 ;另外 也 可 包括 例如 真实 性 .可 核查 性 .不 可 和 否认 性 和 可 靠 性 等 。 
[GB/T 22081 一 2008] 
3.5 
信息 安全 事态 information security event 
信息 安全 事态 是 指 系 统 、 服 务 或 网 络 的 一 种 可 识别 的 状态 的 发 生 , 它 可 能 是 对 信息 安全 策略 的 违反 
或 防护 措施 的 失效 ,或 是 和 安全 关联 的 一 个 先前 未 知 的 状态 。 
[GB/2Z 20985 一 2007] 
3.6 
信息 安全 事件 information security incident 
一 个 信息 安全 事件 由 单个 的 或 一 系列 的 有 害 或 意外 信息 安全 事态 组 成 ,它们 具有 损害 业务 运作 和 
威胁 信息 安全 的 极 大 的 可 能 : 
[GB/Z 20985 一 2007] 
3.7 
信息 安全 管理 体系 (ISMS) information security management system (ISMS) 
基于 业务 风险 方法 ,建立 .实施 、 运 行 . 监 视 、 评 审 、 保 持 和 改进 信息 安全 的 体系 ,是 一 个 组 织 整个 管 
理 体 系 的 一 部 分 。 
注 : 管理 体系 包括 组 织 结构 .方针 策略 、 规 划 活 动 、 职 责 、 实 践 、 规 程 、 过 程 和 资源 。 
3.8 
完整 性 ”integrity 
保护 资产 的 准确 和 完整 的 特性 。 
[ISO/IEC 13335-1:2004 
3.9 
残余 风险 ”residual risk 
经 过 风险 处 置 后 遗留 的 风险 。 
[ISO/IEC Guide 73 :2002] 


风险 接受 risk acceptance 
[ISO/IEC Guide 73 .2002] 


风险 分 析 risk analysis 
系统 地 使 用 信息 来 识别 风险 来 源 和 估计 风险 。 
[ISO/IEC Guide 73:2002] 


风险 评估 ”risk assessment 
风险 分 析 和 风险 评价 的 整个 过 程 。 
[ISO/IEC Guide 73 :2002j] 
3. 13 
风险 评价 ”risk evaluation 
将 估计 的 风险 与 给 定 的 风险 准则 加 以 比较 以 确定 风险 严重 性 的 过 程 。 
[ISO/IEC Guide 73 :2002|] 
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3. 14 
风险 管理 ”risk management 
指导 和 控制 一 个 组 织 相关 风险 的 协调 活动 。 
LISO/IEC Guide 73:2002] 
3. 15 
风险 处 置 risk treatment 
选择 并 且 执 行 措施 来 更 改 风 险 的 过 程 。 
LISO/IEC Guide 73 :2002 
注 : 在 本 标准 中 ,术语 “控制 措施 ”被 用 作 “ 措 施 ” 的 同义词 。 
3.16 
适用 性 声明 statement of applicability 
描述 与 组 织 的 信息 安全 管理 体系 相关 的 和 适用 的 控制 目标 和 控制 措施 的 文件 。 
注 : 控制 目标 和 控制 措施 是 基于 风险 评估 和 风险 处 置 过 程 的 结果 和 结论 ,法 律 法 规 的 要 求 、 合 同 义 务 以 及 组 织 对 于 
信息 安全 的 业务 要 求 。 





4 信息 安全 管理 体系 (ISMS) 


4.1 总 要 求 
组 织 应 在 其 整体 业务 活动 中 且 在 所 面临 风险 的 环境 下 建立 实施. 运行, 监视. 评审、 保持 和 改进 文 
件 化 的 ISMS。 在 本 标准 中 ,所 使 用 的 过 程 基于 图 1 所 示 的 PDCA 模型 。 
4.2 建立 和 管理 ISMS 
4.2.1 建立 ISMS 
组 织 应 做 以 下 方面 的 工作 : 
a) ”根据 业务 .组织 、 位 置 、 资 产 和 技术 等 方面 的 特性 ,确定 ISMS 的 范围 和 边界 ,包括 对 范围 任何 
删 减 的 详细 说 明和 正当 性 理由 ( 见 1.2) 。 
b) 根据 业务 、 组 织 \ 位 置 、 资 产 和 技术 等 方面 的 特性 ,确定 ISMS 方针 。ISMS 方针 应 : 
1) 包括 设 定 目标 的 框架 和 建立 信息 安全 工作 的 总 方向 和 原则 ; 
2) ”考虑 业务 和 法 律 法 规 的 要 求 ,及 合同 中 的 安全 义务 ; 
3) 在 组 织 的 战略 性 风险 管理 环境 下 ,建立 和 保持 ISMS; 
4) ”建立 风险 评价 的 准则 ( 见 4.2.1c); 
5) 获得 管理 者 批准 。 
注 : 就 本 标准 的 目的 而 言 ,ISMS 方针 被 认为 是 信息 安全 方针 的 一 个 扩展 集 。 这 些 方针 可 以 在 一 个 文件 中 进 
行 拱 述 。 
c) 确定 组 织 的 风险 评估 方法 : 
1) 识别 适合 ISMS 已 识别 的 业务 信息 安全 和 法 律 法 规 要 求 的 风险 评估 方法 ; 
2) 制定 接受 风险 的 准则 ,识别 可 接受 的 风险 级 别 ( 见 5. 1f) ) 。 
选择 的 风险 评估 方法 应 确保 风险 评估 产生 可 比较 的 和 可 再 现 的 结果 。 
注 ; 风险 评估 具有 不 同 的 方法 。 在 ISO/IEC TR 13335-3 中 描述 了 风险 评估 方法 的 例子 。 
d) 识别 风险 : 
1) 识别 ISMS 范围 内 的 资产 及 其 责任 人 ”; 
2) 识别 资产 所 面临 的 威胁 ; 
3) 识别 可 能 被 威胁 利用 的 脆弱 性 ; 





1) 术语 “责任 人 ”标识 了 已 经 获得 管理 者 的 批准 ,负责 产生 、 开 发 .维护 .使 用 和 保证 资产 的 安全 的 个 人 或 实体 。 术 
语 “ 责 任 人 ? 不 是 指 该 人 员 实际 上 对 资产 拥有 所 有 权 。 
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4) ”识别 丧失 保密 性 、 完 整 性 和 可 用 性 可 能 对 资产 造成 的 影响 。 
e) 分 析 和 评价 风险 : 
1) 在 考虑 丧失 资产 的 保密 性 完整 性 和 可 用 性 所 造成 的 后 果 的 情况 下 ,评估 安全 失效 可 能 造 


成 的 对 组 织 的 影响 ; 
2) 根据 主要 的 威胁 和 脆弱 性 、 对 资产 的 影响 以 及 当前 所 实施 的 控制 措施 ,评估 安全 失效 发 生 
的 现实 可 能 ; 


3) 估计 风险 的 级 别 ; 
4) 确定 风险 是 否 可 接受 ,或 者 是 否 需 要 使 用 在 4. 2. 1c)2) 中 所 建立 的 接受 风险 的 准则 进行 
处 理 。 
f) 识别 和 评价 风险 处 置 的 可 选 措施 ,可 能 的 措施 包括 : 
1) 采用 适当 的 控制 措施 ; 
2) 在 明显 满足 组 织 方针 策略 和 接受 风险 的 准则 的 条 件 下 ,有 意识 地 、 客 观 地 接受 风险 ( 兄 
| 4.2. 1c)2)); 
3) 避免 风险 ; 
4) ”将 相关 业务 风险 转移 到 其 他 方 ,如 :保险 ,供应 商 等 。 
g) ”为 处 理 风险 选择 控制 目标 和 控制 措施 。 
控制 目标 和 控制 措施 应 加 以 选择 和 实施 ,以 满足 风险 评估 和 风险 处 置 过 程 中 所 识别 的 要 求 。 这 种 
选择 应 考虑 接受 风险 的 准则 ( 见 4. 2. 1c)2)) 以 及 法 律 法 规 和 合同 要 求 。 
从 附录 A 中 选择 控制 目标 和 控制 措施 应 成 为 此 过 程 的 一 部 分 ,该 过 程 适合 于 满足 这 些 已 识别 的 
要 求 。 
附录 A 所 列 的 控制 目标 和 控制 措施 并 不 是 所 有 的 控制 目标 和 控制 措施 ,组 织 也 可 能 需要 选择 另外 
的 控制 目标 和 控制 措施 。 
注 : 附录 A 包含 了 组 织 内 一 般 要 用 到 的 全 面 的 控制 目标 和 控制 措施 的 列表 。 本 标准 用 户 可 将 附录 A 作为 选择 控 
制 措施 的 出 发 点 ,以 确保 不 会 遗漏 重要 的 可 选 控制 措施 。 
h) 获得 管理 者 对 建议 的 残余 风险 的 批准 。 
iD 获得 管理 者 对 实施 和 运行 ISMS 的 授权 。 
j) 准备 适用 性 声明 (Statement of Applicability, 简 称 SoA) 应 从 以 下 几 方 面 准 备 适用 性 声明 : 
1) 4.2.1g) 中 所 选择 的 控制 目标 和 控制 措施 ,以 及 选择 的 理由 ; 
2) 当前 实施 的 控制 目标 和 控制 措施 ( 见 4.2. 1e)2)); 
3) 对 附录 A 中 任何 控制 目标 和 控制 措施 的 删 减 ,以 及 删 减 的 合理 性 说 明 。 
注 ; 适用 性 声明 提供 了 一 份 关 于 风险 处 置 决 定 的 综述 。 删 减 的 合理 性 说 明 提 供 交叉 检查 ,以 证 明 不 会 因 琉 忽而 遗 
漏 控制 措施 。 
4.2.2 实施 和 运行 ISMS 
组 织 应 : 
a) 为 管理 信息 安全 风险 识别 适当 的 管理 措施 .资源 .职责 和 优先 顺序 , 即 :制定 风险 处 置 计 划 ( 见 
第 5 章 ); 
b) 实施 风险 处 置 计划 以 达到 已 识别 的 控制 目标 ,包括 资金 安排 .角色 和 职责 的 分 配 ; 
c) 实施 4.2.1g) 中 所 选择 的 控制 措施 ,以 满足 控制 目标 ; 
d) 确定 如 何 测量 所 选择 的 控制 措施 或 控制 措施 集 的 有 效 性 ,并 指明 如 何 用 这 些 测 量 措施 来 评估 
控制 措施 的 有 效 性 ,以 产生 可 比较 的 和 可 再 现 的 结果 ( 见 4. 2. 3c) ); 
注 : 测量 控制 措施 的 有 效 性 可 使 管理 者 和 员工 确定 控制 措施 达到 既定 的 控制 目标 的 程度 。 
e) 实施 培训 和 意识 教育 计划 ( 见 5. 2.27; 
{) ”管理 ISMS 的 运行 ; 
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g) 管理 ISMS 的 资源 ( 见 5. 2); 
h) 实施 能 够 迅速 检测 安全 事态 和 响应 安全 事件 的 规程 和 其 他 控制 措施 ( 见 4. 2. 3a) ) 。 
4.2.3 监视 和 评审 ISMS 
组 织 应 : 
a) ”执行 监视 与 评审 规程 和 其 他 控制 措施 ,以 : 
1) ”迅速 检测 过 程 运行 结果 中 的 错误 ; 
2) 迅速 识别 试图 的 和 得 退 的 安全 违规 和 事件 ; 
3) 使 管理 者 能 够 确定 分 配给 人 员 的 安全 活动 或 通过 信息 技术 实施 的 安全 活动 是 否 按期 望 
执行 ; 
4) 通过 使 用 指示 器 ,帮助 检测 安全 事态 并 预防 安全 事件 ; 
5) 确定 解决 安全 违规 的 措施 是 否 有 效 。 
b) 在 考虑 安全 审核 结果 .事件 ,有 效 性 测量 结果 .所 有 相关 方 的 建议 和 反馈 的 基础 上 ,进行 ISMS 
有 效 性 的 定期 评审 (包括 满足 ISMS 方针 和 目标 ,以 及 安全 控制 措施 的 评审 ) 。 
c) 测量 控制 措施 的 有 效 性 以 验证 安全 要 求 是 否 被 满足 。 
d) 按照 计划 的 时 间 间 隔 进 行 风险 评估 的 评审 ,以 及 对 残余 风险 和 已 确定 的 可 接受 的 风险 级 别 进 
行 评 审 ,应 考虑 以 下 方面 的 变化 : 
1) 组 织 ; 
2) 技术 ; 
3) 业务 目标 和 过 程 ; 
4) 已 识别 的 威胁 ; 
5) 已 实施 的 控制 措施 的 有 效 性 ; 
6) ”外 部 事态 ,如 法 律 法 规 环境 的 变更 .合同 义务 的 变更 和 社会 环境 的 变更 。 
e) 按 计划 的 时 间 间 隔 , 实 施 ISMS 内 部 审核 ( 见 第 6 章 )。 
注 : 内 部 审核 ,有 时 称 为 第 一 方 审 核 ,是 用 于 内 部 目的 ,由 组 织 自己 或 以 组 织 的 名 义 所 进行 的 审核 。 
{) ”定期 进行 ISMS 管理 评审 ,以 确保 ISMS 范围 保持 充分 ,ISMS 过 程 的 改进 得 到 识别 ( 见 7. 1)。 
g) 考虑 监视 和 评审 活动 的 结果 ,以 更 新 安全 计划 。 
h) 记录 可 能 影响 ISMS 的 有 效 性 或 执行 情况 的 措施 和 事态 ( 见 4. 3. 3) 。 
4.2.4 保持 和 改进 ISMS 


组 织 应 经 常 : 

a) 实施 已 识别 的 ISMS 改进 。 

b) 依照 8.2 和 8. 3 采取 合适 的 纠正 和 预防 措施 。 从 其 他 组 织 和 组 织 自身 的 安全 经 验 中 吸取 
教训 。 


c) 向 所 有 相关 方 沟通 措施 和 改进 情况 ,其 详细 程度 应 与 环境 相 适 应 ,需要 时 ,商定 如 何 进行 。 
d) 确保 改进 达到 了 预期 目标 。 


4.3 文件 要 求 
4.3.1 总 则 


文件 应 包括 管理 决定 的 记录 ,以 确保 所 采取 的 措施 符合 管理 决定 和 方针 策略 ,还 应 确保 所 记录 的 结 
果 是 可 重复 产生 的 。 

重要 的 是 ,能够 显示 出 所 选择 的 控制 措施 回溯 到 风险 评估 和 风险 处 置 过 程 的 结果 ,并 进而 回溯 到 
ISMS 方针 和 目标 之 间 的 关系 。 

ISMS 文件 应 包括 : 

a) 形成 文件 的 IJSMS 方针 ( 见 4.2.1b)) 和 目标 ; 

b) ISMS 的 范围 ( 见 4. 2. 1a)); 
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c) 支持 ISMS 的 规程 和 控制 措施 ; 
d) 风险 评估 方法 的 描述 ( 见 4. 2. 1c)); 
e) 风险 评估 报告 ( 见 4. 2.1c) 到 4.2.1g)); 
f) ”风险 处 置 计划 ( 见 4. 2. 2b)); 
g) 组 织 为 确保 其 信息 安全 过 程 的 有 效 规划 .运行 和 控制 以 及 描述 如 何 测量 控制 措施 的 有 效 性 所 
需 的 形成 文件 的 规程 ( 见 4. 2. 3c)); 
h) 本 标准 所 要 求 的 记录 ( 见 4. 3. 3); 
i) 适用 性 声明 。 
注 1: 本 标准 出 现 “ 形 成 文件 的 规程 ”之 处 , 即 要 求 建立 该 规程 ,形成 文件 ,并 加 以 实施 和 保持 。 
注 2: 不 同 组 织 的 ISMS 文件 的 详 略 程度 取决 于 : 
一 一 组 织 的 规模 和 活动 的 类 型 ; 
一 一 安全 要 求 和 被 管理 系统 的 范围 及 复杂 程度 。 
注 3: 文件 和 记录 可 以 采用 任何 形式 或 类 型 的 介质 。 
4.3.2 文件 控制 
ISMS 所 要 求 的 文件 应 予以 保护 和 控制 。 应 编制 形成 文件 的 规程 ,以 规定 以 下 方面 所 需 的 管理 
措施 : 
a) 文件 发 布 前 得 到 批准 ,以 确保 文件 是 适当 的 ; 
b) 必要 时 对 文件 进行 评审 .更 新 并 再 次 批准 ; 
c) 确保 文件 的 更 改 和 现行 修订 状态 得 到 标识 ; 
d) 确保 在 使 用 处 可 获得 适用 文件 的 相关 版 本 ; 
e) 确保 文件 保持 清晰 、 易 于 识别 ; 
号 “确保 文件 对 需要 的 人 员 可 用 ,并 依照 文件 适用 的 类 别 规程 进行 传输 .贮存 和 最 终 销 毁 ; 
g) 确保 外 来 文件 得 到 识别 ; 
h) 确保 文件 的 分 发 得 到 控制 ; 
iD 防止 作废 文件 的 非 预期 使 用 ; 
j) 若 因 任何 目的 而 保留 作废 文件 时 ,对 这 些 文件 进行 适当 的 标识 。 
4.3.3 记录 控制 
应 建立 记录 并 加 以 保持 ,以 提供 符合 ISMS 要 求 和 有 效 运行 的 证 据 。 应 对 记录 加 以 保护 和 控制 。 
ISMS 的 记录 应 考虑 相关 法 律 法 规 要 求 和 合同 义务 。 记 录 应 保持 清晰 .易于 识别 和 检索 。 记 录 的 标识 、 
贮存 .保护 、 检 索 、 保 存 期 限 和 处 置 所 需 的 控制 措施 应 形成 文件 并 实施 。 
应 保留 4. 2 中 列 出 的 过 程 执行 记录 和 所 有 发 生 的 与 ISMS 有 关 的 重大 安全 事件 的 记录 。 
例如 :记录 包括 访客 登记 禾 、 审 核 报告 和 已 完成 的 访问 授权 单 。 


5 管理 职责 








5.1 管理 承诺 
管理 者 应 通过 以 下 活动 ,对 建立 、 实 施 、 运 行 、 监 视 、 评 审 、 保 持 和 改进 ISMS 的 承诺 提供 证 据 : 
a) 制定 ISMS 方针; 
b) 确保 ISMS 目标 和 计划 得 以 制定 ; 
c) ”建立 信息 安全 的 角色 和 职责 ，; 
d) 向 组 织 传达 满足 信息 安全 目标 .符合 信息 安全 方针 、 履 行 法 律 责任 和 持续 改进 的 重要 性 ; 
e) 提供 足够 资源 ,以 建立 .实施 .运行 .监视 .评审 、 保 持 和 改进 ISMS ( 见 5. 2.1); 
人 决定 接受 风险 的 准则 和 风险 的 可 接受 级 别 ; 
g) 确保 ISMS 内 部 审核 的 执行 ( 见 第 6 章 ); 
b) 实施 ISMS 的 管理 评审 ( 见 第 7 章 )。 
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5.2 资源 管理 
5.2.1 资源 提供 
组 织 应 确定 并 提供 所 需 的 资源 ,以 : 
a) 建立、 实施 .运行 ,监视 .评审 .保持 和 改进 ISMS; 
b) 确保 信息 安全 规程 支持 业务 要 求 ; 
c) 识别 和 满足 法 律 法 规 要 求 、 以 及 合同 中 的 安全 义务 ; 
d) 通过 正确 实施 所 有 的 控制 措施 保持 适当 的 安全 ; 
e) ”必要 时 ,进行 评审 ,并 适当 响应 评审 的 结果 ; 
{) 在 需要 时 ,改进 ISMS 的 有 效 性 。 
5.2.2 培训 、 意 识 和 能 力 
组 织 应 通过 以 下 方式 ,确保 所 有 被 赋予 ISMS 职责 的 人 员 具 有 执行 所 要 求 任务 的 能 力 : 
a) 确定 从 事 影响 ISMS 工作 的 人 员 所 必要 的 能 力 ; 
b) 提供 培训 或 采取 其 他 措施 (如 聘用 有 能 力 的 人 员 ) 以 满足 这 些 需 求 ; 
c) 评价 所 采取 的 措施 的 有 效 性 ; 
d) ”保持 教育 .培训 技能、 经 历 和 资格 的 记录 ( 见 4. 3. 3)。 
组 织 也 应 确保 所 有 相关 人 员 意 识 到 他 们 信息 安全 活动 的 相关 性 和 重要 性 ,以 及 如 何 为 达到 ISMS 
目标 做 出 贡献 。 


6 ”ISMS 内 部 审核 


组 织 应 按照 计划 的 时 间 间 隔 进行 ISMS 内 部 审核 ,以 确定 其 ISMS 的 控制 目标 、 控 制 措施 、 过 程 和 
规程 是 否 : 

a) ”符合 本 标准 和 相关 法 律 法 规 的 要 求 ; 

b) 符合 已 确定 的 信息 安全 要 求 ; 

c) ”得 到 有 效 地 实施 和 保持 ; 

d) 按 预 期 执行 。 

应 在 考虑 拟 审核 的 过 程 与 区 域 的 状况 和 重要 性 以 及 以 往 审核 的 结果 的 情况 下 ,制定 审核 方案 。 应 
确定 审核 的 准则 范围、 频次 和 方法 。 审 核 员 的 选择 和 审核 的 实施 应 确保 审核 过 程 的 客观 性 和 公正 性 。 
审核 员 不 应 审核 自己 的 工作 。 

策划 和 实施 审核 .报告 结果 和 保持 记录 ( 见 4. 3.3) 的 职责 和 要 求 应 在 形成 文件 的 规程 中 做 出 规定 。 

负责 受审 区 域 的 管理 者 应 确保 及 时 采取 措施 ,以 消除 已 发 现 的 不 符合 及 其 产生 的 原因 。 跟 踪 活 动 
应 包括 对 所 采取 措施 的 验证 和 验证 结果 的 报告 ( 见 第 8 章 ) 。 

注 : GB/T 19011 一 2003 也 可 为 实施 ISMS 内 部 审核 提供 有 用 的 指导 。 


7 ISMS 的 管理 评审 


7.1 总 则 

管理 者 应 按 计 划 的 时 间 间 隔 ( 至 少 每 年 1 次) 评审 组 织 的 ISMS, 以 确保 其 持续 的 适宜 性 、 充 分 性 和 
有 效 性 。 评 审 应 包括 评估 ISMS 改进 的 机 会 和 变更 的 需要 ,包括 信息 安全 方针 和 信息 安全 目标 。 评 审 
的 结果 应 清晰 地 形成 文件 ,记录 应 加 以 保持 ( 见 4. 3. 3)。 
7.2 评审 输入 

管理 评审 的 输入 应 包括 : 

a) ISMS 审核 和 评审 的 结果 ; 

b) 相关 方 的 反馈 ; 

c) 组织 用 于 改进 ISMS 执行 情况 和 有 效 性 的 技术 .产品 或 规程 ; 

d) 预防 和 纠正 措施 的 状况 ; 
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e) 以往 风 险 评估 没有 充分 强调 的 脆弱 点 或 威胁 ; 
f) 有 效 性 测量 的 结果 ; 
g) ”以 往 管理 评审 的 跟踪 措施 ; 
h) 可 能 影响 ISMS 的 任何 变更 ; 
iD 改进 的 建议 。 
7.3 评审 输出 
管理 评审 的 输出 应 包括 与 以 下 方面 有 关 的 任何 决定 和 措施 : 
a) ISMS 有 效 性 的 改进 。 
b) 风险 评估 和 风险 处 置 计 划 的 更 新 。 
c) 必要 时 修改 影响 信息 安全 的 规程 和 控制 措施 ,以 响应 内 部 或 外 部 可 能 影响 ISMS 的 事态 ,包括 
以 下 的 变更 : 
1) 业务 要 求 ; 
2) 安全 要 求 ; 
3) 影响 现 有 业务 要 求 的 业务 过 程 ; 
4) 法 律 法 规 要 求 ; 
5) 合同 义务 ; 
6) ”风险 级 别 和 /或 接受 风险 的 准则 。 
d) 资源 需求 。 
e) 控制 措施 有 效 性 测量 方法 的 改进 。 


8 ISMS 改进 


8.1 持续 改进 

组 织 应 利用 信息 安全 方针 、 安 全 目标 、 审 核 结 果 、 监 视 事态 的 分 析 、 纠 正和 预防 措施 以 及 管理 评审 
( 见 第 7 章 ) ,持续 改进 ISMS 的 有 效 性 。 
8.2 ”纠正 措施 

组 织 应 采取 措施 ,以 消除 与 ISMS 要 求 不 符合 的 原因 ,以 防止 再 发 生 。 形 成 文件 的 纠正 措施 规程 ， 
应 规定 以 下 方面 的 要 求 : 

a) ”识别 不 符合 ; 

b) 确定 不 符合 的 原因 ; 

c) 评价 确保 不 符合 不 再 发 生 的 措施 需求 ; 

d) 确定 和 实施 所 需要 的 纠正 措施 ; 

e) 记录 所 采取 措施 的 结果 ( 见 4. 3. 3); 

f) 评审 所 采取 的 纠正 措施 。 
8.3 预防 措施 

组 织 应 确定 措施 ,以 消除 潜在 不 符合 的 原因 ,防止 其 发 生 。 预 防 措施 应 与 潜在 问题 的 影响 程度 相 适 
应 。 形 成 文件 的 预防 措施 规程 ,应 规定 以 下 方面 的 要 求 

a) ”识别 潜在 的 不 符合 及 其 原因 ; 

b) 评价 防止 不 符合 发 生 的 措施 需求 ; 

c) 确定 和 实施 所 需要 的 预防 措施 ; 

d) ”记录 所 采取 措施 的 结果 ( 见 4. 3. 3); 

e) 评审 所 采取 的 预防 措施 。 

组 织 应 识别 变化 的 风险 ,并 识别 针对 重大 变化 的 风险 的 预防 措施 的 要 求 。 

预防 措施 的 优先 级 应 根据 风险 评估 的 结果 确定 。 

注 : 预防 不 符合 的 措施 通常 比 纠正 措施 更 节约 成 本 。 
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附 录 A 
(规范 性 附录 ) 
控制 目标 和 控制 措施 


表 A.1 所 列 的 控制 目标 和 控制 措施 是 直接 源 自 并 与 GB/ 工 22081 一 2008(ISO/IEC 27002:2005) 第 
5 章 到 第 15 章 一 致 。 表 A. 1 中 的 清单 并 不 详尽 ,一 个 组 织 可 能 考虑 另外 必要 的 控制 目标 和 控制 措施 。 
在 这 些 表 中 选择 控制 目标 和 控制 措施 是 条 款 4. 2. 1 规定 的 ISMS 过 程 的 一 部 分 。 
GB/T 22081 一 2008(ISO/IEC 27002:2005) 第 5 章 至 第 15 章 提 供 了 最 佳 实践 的 实施 建议 和 指南 ， 
以 支持 A.5 到 A. 15 列 出 的 控制 措施 。 
表 A.1 控制 目标 和 控制 措施 
A.5 安全 方针 
A.5.1 信息 安全 方针 
月 东 :依据 业务 要 求 和 相关 法 律 法 规 提供 管理 指导 并 支持 信息 安全 。 
A.5.1.1 | 信息 安全 方针 文件 其 市 柱 太 
信息 安全 方针 文件 应 由 管理 者 批准 ,发 布 并 传达 给 所 有 员工 和 外 部 相关 方 。 
信息 安全 方针 的 评审 众 币 杖 矿 
宜 按 计划 的 时 间 间 隔 或 当 重 大 变化 发 生 时 进行 信息 安全 方针 评审 ,以 确保 它 
持续 的 适宜 性 、 充 分 性 和 有 效 性 。 




















巷 鸯 青 功 
管理 者 应 通过 清晰 的 说 明 、 可 证 实 的 承诺 、 明 确 的 信息 安全 职责 分 配 及 确认 ， 
| 来 积极 支持 组 织 内 的 安全 。 


巷 秽 蒂 芳 





信息 安全 活动 应 由 来 自 组 织 不 同 部 门 并 具备 相关 角色 和 工作 职责 的 代表 进 
行 协调 。 

巷 币 入 访 

所 有 的 信息 安全 职责 应 予以 清晰 地 定义 。 

信息 处 理 设施 的 授权 | 想 秽 大 施 

过 程 应 为 新 的 信息 处 理 设施 定义 和 实施 一 个 管理 授权 过 程 。 

保密 性 协议 莽 乔 蔡 芳 

| 应 识别 并 定期 评审 反映 组 织 信息 保护 需要 的 保密 性 或 不 泄露 协议 的 要 求 。 

与 政府 部 门 的 联系 莽 先 青 范 

应 保持 与 政府 相关 部 门 的 适当 联系 。 

与 特定 利益 集团 的 联系 ”| 套 秽 蒂 散 

应 保持 与 特定 利益 集团 、 其 他 安全 专家 组 和 专业 协会 的 适当 联系 。 

信息 安全 的 独立 评审 套 竺 静 芒 

组 织 管理 信息 安全 的 方法 及 其 实施 (例如 信息 安全 的 控制 目标 .控制 措施 、 策 
略 、 过 程 和 规程 ) 应 按 计划 的 时 间 间 隔 进 行 独立 评审 , 当 安 全 实施 发 生 重大 变 
化 时 ,也 要 进行 独立 评审 。 






































A. 6.2 外 部 各 方 
月 东 :保持 组 织 的 被 外 部 各 方 访问 、 处 理 、 管 理 或 与 外 部 进行 送信 的 信息 和 信息 处 理 设施 的 安全 。 
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表 A. 1 ( 续 ) 
A. 6.2.1 | 与 外 部 各 方 相 关 风 险 的 | 众 身 入 芳 
识别 应 识别 涉及 外 部 各 方 业务 过 程 中 组 织 的 信息 和 信息 处 理 设 施 的 风险 ,并 在 多 
许 访 问 前 实施 适当 的 控制 措施 。 
A. 6.2.2 | 处 理 与 顾客 有 关 的 安全 | 雁 币 医 诚 
问题 应 在 允许 顾客 访问 组 织 信 息 或 资产 之 前 处 理 所 有 确定 的 安全 要 求 。 
A. 6.2.3 | 处 理 第 三 方 协议 中 的 安 | 藉 先 还 苑 
全 问题 涉及 访问 .处理 或 管理 组 织 的 信息 或 信息 处 理 设施 以 及 与 之 通信 的 第 三 方 协 
议 , 或 在 信息 处 理 设施 中 增加 产品 或 服务 的 第 三 方 协议 ,应 涵盖 所 有 相关 的 
安全 要 求 。 















































A.7 资产 管理 
A.7.1 对 资产 负责 
月 奈 :实现 和 保持 对 组 织 资产 的 适当 保护 。 
A.7.1.1 | 资产 清单 莽 丢 傍 蕊 . 
应 清晰 的 识别 所 有 资产 ,编制 并 维护 所 有 重要 资产 的 清单 。 
A.7.1.2 | 资产 责任 人 2 花 丢 蒂 秘 
与 信息 处 理 设 施 有 关 的 所 有 信息 和 资产 应 由 组 织 的 指定 部 门 或 人 员 承 担 责任 。 
A.7.1.3 | 资产 的 可 接受 使 用 其 前 桩 芳 
与 信息 处 理 设施 有 关 的 信息 和 资产 可 接受 使 用 规则 应 被 确定 、 形 成 文件 并 加 
人 以 实施 。 
A.7.2 信息 分 类 
月 奈 :确保 信息 受到 适当 级 别 的 保护 。 
A.7.2.1 | 分 类 指南 巷 莫 撩 郁 
信息 应 按照 它 对 组 织 的 价值 、 法 律 要 求 .敏感 性 和 关键 性 予以 分 类 。 
A.7.2.2 | 信息 的 标记 和 处 理 其 币 杖 项 








应 按照 组 织 所 采纳 的 分 类 机 制 建立 和 实施 一 组 合适 的 信息 标记 和 处 理 规程 。 





A.8 人 力 资 源 安全 

















A.8.1 任用 ?之 前 

月 厅 ,确保 雇员 、 承 包 方 人 员 和 第 三 方 人 员 理解 其 职责 、 考 虑 对 其 承担 的 角色 是 适合 的 ,以 降低 设施 被 窃 其 诈 和 误 用 

的 风险 。 

A.8.1.1 | 角色 和 职责 其 制 舌 许 
雇员 .承包 方 人 员 和 第 三 方 人 员 的 安全 角色 和 职责 应 按照 组 织 的 信息 安全 广 
对 定义 并 形成 文件 。 

A.8.1.2 | 审查 荐 崩 玉 苑 
关于 所 有 任用 的 候选 者 .承包 方 人 员 和 第 三 方 人 员 的 背景 验证 核查 应 按照 相 
关 法 律 法 规 .道德 规范 和 对 应 的 业务 要 求 . 被 访问 信息 的 类 别 和 察觉 的 风险 
来 执行 。 
pp 

i 作为 他 们 合同 义务 的 一 部 分 ,雇员 、 承 包 方 人 员 和 第 三 方 人 员 应 同意 并 签署 
他 们 的 任用 合同 的 条 款 和 条 件 ,这 些 条 款 和 条 件 应 声明 他 们 和 组 织 的 信息 安 
全 职责 。 














1) 


解释 :术语 “责任 人 ”是 被 认可 ,具有 控制 生产 、 开 发 .保持 、 使 用 和 资产 安全 的 个 人 或 实体 。 术 语 “ 资 任 人 ” 不 指 
实际 上 对 资产 具有 财产 权 的 人 。 

解释 :这 里 的 “任用 ” 意 指 以 下 不 同 的 情形 :人 员 任 用 (暂时 的 或 长 期 的 ) 、 工 作 负 色 的 指定 、 工 作 角 色 的 变化 、 合 
同 的 分 配 及 所 有 这 些 安排 的 终止 。 


2) 
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A.8.2 任用 中 
局 奈 :确保 所 有 的 雇员 .承包 方 人 员 和 第 三 方 人 员 知 悉 信 息 安全 威胁 和 利害 关系 .他们 的 职责 和 义务 .并 准备 好 在 其 
正常 工作 过 程 中 支持 组 织 的 安全 方针 ,以 减少 人 为 出 错 的 风险 。 
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表 A. 1 ( 续 ) 





荐 市 杖 大 
管理 者 应 要 求 雇 员 .承包 方 人 员 和 第 三 方 人 员 按 照 组 织 
规程 对 安全 尽心 尽力 。 


已 建立 的 方针 策略 和 





信息 安全 意识 .教育 和 
培训 


莽 逢 癸 荡 
组 织 的 所 有 雇员 ,适当 时 ,包括 承包 方 人 员 和 第 三 方 人 员 ,应 受到 与 其 工作 职 
能 相关 的 适当 的 意识 培训 和 组 织 方针 策略 及 规程 的 定期 更 新 培训 。 





十 
A.8.2.3 


纪律 处 理 过 程 





巷 役 静 散 


对 于 安全 违规 的 雇员 ,应 有 一 个 正式 的 纪律 处 理 过 程 。 





A.8.3 任用 的 终止 或 变化 
入 奈 :确保 雇员 、 承 包 方 人 员 和 第 三 方 人 员 以 一 个 规范 的 方式 退出 一 个 组 织 或 改变 其 任用 关系 。 





A.8.3.1 | 终止 职责 


莅 市 往 芳 
任用 终止 或 任用 变更 的 职责 应 清晰 地 定义 和 分 配 。 





A.8.3.2 


资产 的 归还 


撤销 访问 权 





A.9 物理 和 环境 安全 





荐 鸯 蔡 苑 

所 有 的 雇员 ,承包 方 人 员 和 第 三 方 人 员 在 终止 任用 、 合 同 或 协议 时 ， 
们 使 用 的 所 有 组 织 资 产 。 

共 逢 还 范 


所 有 雇员 ,承包 方 人 员 和 第 三 方 人 员 对 信息 和 信息 处 理 设施 的 访问 权 应 在 任 
用 、 合 同 或 协议 终止 时 删除 ,或 在 变化 时 调整 。 


应 归还 他 
































A.9.1 安全 区 域 
月 帮 :防止 对 组 织 场所 和 信息 的 未 授权 物理 访问 、 损 坏 和 干扰 。 
A.9.1.1 | 物理 安全 周边 花草 撩 许 
应 使 用 安全 周边 (诸如 墙 、 卡 控制 的 人口 或 有 人 管理 的 接待 台 等 屏障 ) 来 保护 
中 包含 信息 和 信息 处 理 设施 的 区 域 。 
A.9.1.2 | 物理 人 口 控制 雁 币 矢 芳 
| 安全 区 域 应 由 适合 的 入 口 控制 所 保护 ,以 确保 只 有 授权 的 人 员 才 允许 访问 。 
A.9.1.3 | 办 公 室 、 房 间 和 设施 的 安 | 花 币 葵 蓄 
全 保护 应 为 办 公 室 、 房 间 和 设施 设计 并 采取 物理 安全 措施 。 
A.9.1.4 | 外 部 和 环境 威胁 的 安全 | 巷 币 入 矿 
防护 为 防止 火灾 洪水. 地震. 爆炸、 社会 动 荔 和 其 他 形式 的 自然 或 人 为 灾难 引起 
的 破坏 ,应 设计 和 采取 物理 保护 措施 。 
A.9.1.5 | 在 安全 区 域 工作 巷 币 基态 
应 设计 和 应 用 用 于 安全 区 域 工作 的 物理 保护 和 指南 。 
A. 9.1.6 | 公共 访问 .交接 区 安全 “| 巷 币 科 施 
访问 点 (例如 交接 区 ) 和 未 授权 人 员 可 进入 办 公 场 所 的 其 他 点 应 加 以 控制 ,如 
果 可 能 ,应 与 信息 处 理 设施 隔离 ,以 避免 未 授权 访问 。 
A.9.2 设备 安全 
月 厅 :防止 资产 的 丢失 损坏 失窃 或 危及 资产 安全 以 及 组 织 活 动 的 中 斯 。 
A.9.2.1 | 设备 安置 和 保护 大 向 莹 芒 
应 安置 或 保护 设备 ,以 减少 由 环境 威胁 和 和 危险 所 造成 的 各 种 风险 以 及 未 授权 
访问 的 机 会 。 
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支持 性 设施 


表 A. 1 ( 续 ) 


其 币 述 庆 
应 保护 设备 使 其 免 于 由 支持 性 设施 的 失效 而 引起 的 电源 故障 和 其 他 中 断 。 





C2 ED 
应 保证 传输 数据 或 支持 信息 服务 的 电源 布 缆 和 通信 布线 免 受 窃听 或 损坏 。 





设备 维护 


藉 箭 静 艺 
设备 应 予以 正确 地 维护 ,以 确保 其 持续 的 可 用 性 和 完整 性 。 





组 织 场 所 外 的 设备 安全 


其 币 柱 大 
应 对 组 织 场所 的 设备 采取 安全 措施 ,要 考虑 工作 在 组 织 场所 以 外 的 不 同 
风险 。 





设备 的 安全 处 置 或 再 
利用 


其 役 蔡 范 
包含 储存 介质 的 设备 的 所 有 项 目 应 进行 核查 ,以 确保 在 处 置 之 前 ,任何 敏感 
信息 和 注册 软件 已 被 删除 或 安全 地 写 履 盖 。 





资产 的 移动 








雁 币 蒂 裔 
设备 .信息 或 软件 在 授权 之 前 不 应 带 出 组 织 场所 。 





A.10 通信 和 操作 管理 





















































A. 10.1 操作 规程 和 职责 

月 奈 :确保 正确 .安全 的 操作 信息 处 理 设施 。 

A. 10.1.1| 文件 化 的 操作 规程 其 币 振 施 
操作 规程 应 形成 文件 、 保 持 并 对 所 有 需要 的 用 户 可 用 。 

A. 10.1.21 变更 管理 花 骨 英 范 

| 对 信息 处 理 设 施 和 系统 的 变更 应 加 以 控制 。 

A. 10.1.3| 责任 分 割 花市 往 议 
各 类 责任 及 职责 范围 应 加 以 分 割 , 以 降低 未 授权 或 无 意识 的 修改 或 者 不 当 使 
用 组 织 资产 的 机 会 。 

A.10.1.4| 开发 .测试 和 运行 设施 | 莽 周 蒂 散 

分 离 开发 .测试 和 运行 设施 应 分 离 ,以 减少 未 授权 访问 或 改变 运行 系统 的 风险 。 

A.10.2 第 三 方 服务 交付 管理 

月 杯 :实施 和 保持 符合 第 三 方 服务 交付 协议 的 信息 安全 和 服务 交付 的 适当 水 准 。 

A. 10.2.1 | 服务 交付 其 币 奉 许 
应 确保 第 三 方 实施 .运行 和 保持 包含 在 第 三 方 服务 交付 协议 中 的 安全 控制 措 
施 、 服 务 定义 和 交付 水 准 。 

A.10.2.2| 第 三 方 服务 的 监视 和 其 租 述 斋 

评审 应 定期 监视 和 评审 由 第 三 方 提供 的 服务 、 报 告 和 记录 ,审核 也 应 定期 执行 。 

A. 10. 2.31 第 三 方 服务 的 变更 管理 ”| 期 芽 柱 戎 
应 管理 服务 提供 的 变更 ,包括 保持 和 改进 现 有 的 信息 安全 策略 .规程 和 控制 
措施 ,并 考虑 到 业务 系统 和 涉及 过 程 的 关键 程度 及 风险 的 再 评估 。 

A.10.3 系统 规划 和 验收 

后 装 :将 系统 失效 的 风险 降 至 最 小 。 

A.10.3.1| 容量 管理 花 役 蔡 散 
资源 的 使 用 应 加 以 监视 、 调 整 , 并 作出 对 于 未 来 容量 要 求 的 预测 ,以 确保 拥有 
所 需 的 系统 性 能 。 

A.10.3.2| 系统 验收 花 崩 青 获 











应 建立 对 新 信息 系统 、 升 级 及 新 版 本 的 验收 准则 ,并 且 在 开发 中 和 验收 前 对 
系统 进行 适当 的 测试 。 
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A.10.4 防范 恶意 和 移动 代码 
局 泵 :保护 软件 和 信息 的 完整 性 。 
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表 A.1 ( 续 ) 





A.10.4.1| 控制 恶意 代码 


其 秽 桥 施 
应 实施 恶意 代码 的 检测 、 预 防 和 恢复 的 控制 措施 ,以 及 适当 的 提高 用 户 安全 
意识 的 规程 。 





控制 移动 代码 





戎 秽 珍 范 
当 授 权 使 用 移动 代码 时 ,其 配置 应 确保 授权 的 移动 代码 按照 清晰 定义 的 安全 
策略 运行 ,应 阻止 执行 未 授权 的 移动 代码 。 





A.10.5 备份 
司 奈 :保持 信息 和 信息 处 理 设施 的 完整 


性 及 可 用 性 。 





A.10.5.1| 信息 备份 





其 犁 蒂 项 
应 按照 已 设 的 备份 策略 ,定期 备份 和 测试 信息 和 软件 。 








A.10.6 网 络 安全 管理 
户 厅 :确保 网 络 中 信息 的 安全 性 并 保护 


支持 性 的 基础 设施 。 





网 络 控制 


A.10.6.2| 网 络 服务 安全 





其 市 杖 大 
应 充分 管理 和 控制 网 络 , 以 防止 威胁 的 发 生 , 维 护 使 用 网 络 的 系统 和 应 用 程 
序 的 安全 ,包括 传输 中 的 信息 。 


巷 币 蒂 访 
安全 特性 、 服 务 级 别 以 及 所 有 网 络 服 务 的 管理 要 求 应 予以 确定 并 包括 在 所 有 
网 络 服务 协议 中 ,无 论 这 些 服 务 是 由 内 部 提供 的 还 是 外 包 的 。 








A.10.7 介质 处 置 
月 奈 :防止 资产 遭受 未 授权 泄露 .修改 、 





移动 或 销毁 以 及 业务 活动 的 中 断 。 


A.10.7.1| 可 移动 介质 的 管理 荐 鸯 青 秀 
应 有 适当 的 可 移动 介质 的 管理 规程 。 


A.10.7.2| 分 质 的 处 置 


其 币 杖 大 
不 再 需要 的 介质 ,应 使 用 正式 的 规程 可 靠 并 安全 地 处 置 。 





A. 10.7.3| 信息 处 理 规程 


巷 前 撩 项 
应 建立 信息 的 处 理 及 存储 规程 ,以 防止 信息 的 未 授权 的 泄漏 或 不 当 使 用 。 





A.10.7.4| 系统 文件 安全 





其 和 鹿 适 庆 
应 保护 系统 文件 以 防止 未 授权 的 访问 。 





A.10.8 信息 的 交换 
局 夺 :保持 组 织 内 以 及 与 组 织 外 信息 和 


软件 交换 的 安全 。 





信息 交换 策略 和 规程 





交换 协议 


巷 币 蒂 斋 

应 有 正式 的 交换 策略 .规程 和 控制 措施 ,以 保护 通过 使 用 各 种 类 型 通信 设施 
的 信息 交换 。 

大 午 还 芳 

应 建立 组 织 与 外 部 方 交换 信息 和 软件 的 协议 。 








运输 中 的 物理 介质 


着 前述 访 
包含 信息 的 介质 在 组 织 的 物理 边界 以 外 运送 时 ,应 防止 未 授权 的 访问 、 不 当 
使 用 或 毁坏 。 














A. 10.8.4| 电子 消息 发 送 其 秽 述 芒 
包含 在 电子 消息 发 送 中 的 信息 应 给 予 适当 的 保护 。 
A.10.8.5| 业务 信息 系统 其 彻 攻 项 





应 建立 并 实施 策略 和 规程 ,以 保护 与 业务 信息 系统 互联 相关 的 信息 。 
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表 A. 1 ( 续 ) 


A.10.9 电子 商务 服务 
局 奈 :确保 电子 商务 服务 的 安全 及 其 安全 使 用 。 


A. 10. 9.1 | 电子 商务 戎 崩 蔡 散 

包含 在 使 用 公共 网 络 的 电子 部 务 中 的 信息 应 受 保护 ,以 防止 能 诈 活动 合同 
争议 以 及 未 授权 的 泄露 和 修改 。 

共 币 再 散 

在 线 交 易 中 的 信息 应 受 保护 ,以 防止 不 完全 传输 、 错 误 路 由 .未 授权 的 消息 签 
改 . 未 授权 的 泄露 .未 授权 的 消息 复制 或 重 放 。 


A. 10. 9.3 | 公共 可 用 信息 花山 青 苞 
在 公共 可 用 系统 中 可 用 信息 的 完整 性 应 受 保护 ,以 防止 未 授权 的 修改 。 




















A.10.10 监视 

局 奈 :检测 未 经 授权 的 信息 处 理 活 动 。 

A. 10. 10. 1| 审计 记录 其 币 磋 项 

应 产生 记录 用 户 活动 .异常 情况 和 信息 安全 事态 的 审计 日 志 , 并 要 保持 一 个 
已 设 的 周期 以 支持 将 来 的 调查 和 访问 控制 监视 。 

监视 系统 的 使 用 其 身 述 遍 

应 建立 信息 处 理 设施 的 监视 使 用 规程 ,并 经 常 评审 监视 活动 的 结果 。 

日 志 信 息 的 保护 埠 币 内 庆 

记录 日 志 的 设施 和 日 志 信 息 应 加 以 保护 ,以 防止 纂 改 和 未 授权 的 访问 。 
管理 员 和 操作 员 日 志 起 秽 杖 项 

系统 管理 员 和 系统 操作 员 活 动 应 记 和 日志。 

故障 日 志 其 币 榜 敲 

故障 应 被 记录 分析, 并 采取 适当 的 措施 。 

时 钟 同步 莽 丢 青 范 

一 个 组 织 或 安全 域内 的 所 有 相关 信息 处 理 设 施 的 时 钟 应 使 用 已 设 的 精确 时 
间 源 进行 同步 。 
































A.11 访问 控制 


A.11.1 访问 控制 的 业务 要 求 
月 村 :控制 对 信息 的 访问 。 
A.11.1.1 | 访问 控制 策略 | 花 彻 撩 府 








访问 控制 策略 应 建立 ,形成 文件 ,并 基于 业务 和 访问 的 安全 要 求 进行 评审 。 








A.11.2 用 户 访问 管理 
语 奈 :确保 授权 用 户 访问 信息 系统 ,并 防止 未 授权 的 访问 。 
A.11.2.1| 用 户 注册 花 午 玉 散 
应 有 正式 的 用 户 注册 及 注销 规程 ,来 授权 和 撤销 对 所 有 信息 系统 及 服务 的 访问 。 
A. 11. 2.2 | 特殊 权限 管理 花 币 还 散 

| 应 限制 和 控制 特殊 权限 的 分 配 及 使 用 。 

.2.3 | 用 户口 令 管理 扰 币 大 施 

应 通过 正式 的 管理 过 程控 制 口 令 的 分 配 。 

用 户 访问 权 的 复查 其 币 拓 族 

管理 者 应 定期 使 用 正式 过 程 对 用 户 的 访问 权 进 行 复查 。 
































A.11.3 用 户 职责 
局 奈 :防止 未 授权 用 户 对 信息 和 信息 处 理 设施 的 访问 、 损 害 或 窃取 。 
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表 A. 1 ( 续 ) 





苍 币 榜 庆 

应 要 求 用 户 在 选择 及 使 用 口令 时 ,遵循 良好 的 安全 习惯 。 

无 人 值守 的 用 户 设 备 巷 币 振 旅 

用 户 应 确保 无 人 值守 的 用 户 设备 有 适当 的 保护 。 

清空 桌面 和 屏幕 策略 花 币 述 斋 

应 采取 清空 桌面 上 文件 .可 移动 存储 介质 的 策略 和 清空 信息 处 理 设施 屏幕 的 
策略 。 




















A.11.4 网 络 访问 控制 

月 厂 :防止 对 网 络 服务 的 未 授权 访问 。 

A.11.4.1| 使 用 网 络 服务 的 策略 其 秽 大 其 

用 户 应 仅 能 访问 已 获 专 门 授权 使 用 的 服务 。 

外 部 连接 的 用 户 鉴 别 其 秽 述 座 . 

应 使 用 适当 的 鉴别 方法 以 控制 远程 用 户 的 访问 。 

网 络 上 的 设备 标识 戎 法 蒂 功 

应 考虑 自动 设备 标识 ,将 其 作为 鉴别 特定 位 置 和 设备 连接 的 方法 。 
远程 诊断 和 配置 端口 的 | 套 先 再 艺 

保护 对 于 诊断 和 配置 端口 的 物理 和 逻辑 访问 应 加 以 控制 。 

网 络 隔 离 藉 乔 珍 范 

应 在 网 络 中 隔离 信息 服务 ,用户 及 信息 系统 。 

网 络 连接 控制 戎 市 青 获 

对 于 共享 的 网 络 , 特 别 是 越过 组 织 边 界 的 网 络 , 用 户 的 联网 能 力 应 按照 访问 
控制 策略 和 业务 应 用 要 求 加 以 限制 ( 见 A. 11. 1)。 


网 络 路 由 控制 僚 角 珍 艺 


应 在 网 络 中 实施 路 由 控制 ,以 确保 计算 机 连接 和 信息 流 不 违反 业务 应 用 的 访 
问 控制 策略 。 
































A.11.5 操作 系统 访问 控制 

月 标 :防止 对 操作 系统 的 未 授权 访问 。 

A.11.5.1| 安全 登录 规程 其 币 舌 项 

访问 操作 系统 应 通过 安全 登录 规程 加 以 控制 。 

用 户 标 识 和 鉴别 其 利 杖 其 

所 有 用 户 应 有 唯一 的 、 专 供 其 个 人 使 用 的 标识 符 ( 用 户 ID) ,应 选择 一 种 适当 
的 鉴别 技术 证 实用 户 所 宣称 的 身份 。 

口令 管理 系统 戎 役 表 艺 

口令 管理 系统 应 是 交互 式 的 ,并 应 确保 优质 的 口令 。 

系统 实用 工具 的 使 用 戎 央 青 范 

对 于 可 能 超越 系统 和 应 用 程序 控制 措施 的 实用 工具 的 使 用 应 加 以 限制 并 严 
格 控制 。 

会 话 超时 从 逢 靛 芍 

不 活动 会 话 应 在 一 个 设 定 的 休止 期 后 关闭 。 

联机 时 间 的 限定 藉 岗 青 范 

应 使 用 联机 时 间 的 限制 ,为 高 风险 应 用 程序 提供 额外 的 安全 。 





























A.11.6 应 用 和 信息 访问 控制 
月 帮 :防止 对 应 用 系统 中 信息 的 未 授权 访问 。 
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表 A. 1 ( 续 ) 


信息 访问 限制 优 币 榜 戎 
用 户 和 支持 人 员 对 信息 和 应 用 系统 功能 的 访问 应 依照 已 确定 的 访问 控制 策 
略 加 以 限制 。 





A. 11. 6.2 | 敏感 系统 隔离 其 秽 丹 访 
敏感 系统 应 有 专用 的 (隔离 的 ) 运 算 环境 。 











A.11.7 移动 计算 和 远程 工作 
月 区 :确保 使 用 移动 计算 和 远程 工作 设施 时 的 信息 安全 。 





A.11.7.1| 移动 计算 和 通信 荐 丢 靛 散 
应 有 正式 策略 并 且 采 用 适当 的 安全 措施 ,以 防范 使 用 移动 计算 和 通信 设施 时 
所 造成 的 风险 。 





A.11.7.2| 远程 工作 盘 币 珍 艺 
应 为 远程 工作 活动 开发 和 实施 策略 .操作 计划 和 规程 。 











A.12 信息 系统 获取 、 开 发 和 维护 

A.12.1 信息 系统 的 安全 要 求 

月 帮 :确保 安全 是 信息 系统 的 一 个 有 机 组 成 部 分 。 

A.12.1.1| 安全 要 求 分 析 和 说 明 其 币 检 斋 

在 新 的 信息 系统 或 增强 已 有 信息 系统 的 业务 要 求 陈述 中 ,应 规定 对 安全 控制 
措施 的 要 求 。 











A.12.2 应 用 中 的 正确 处 理 
月 奈 :防止 应 用 系统 中 的 信息 的 差错 、 遗 失 、 未 授权 的 修改 或 误 用 。 

A.12.2.1| 输入 数据 确认 大 和 市 杖 议 

应 对 输入 应 用 系统 的 数据 加 以 确认 ,以 确保 数据 是 正确 且 恰 当 的 。 


内 部 处 理 的 控制 葫 乔 蒂 范 
确认 核查 应 整合 到 应 用 中 ,以 检测 由 于 处 理 的 差错 或 故意 的 行为 造成 的 信息 
的 任何 论 误 。 








莽 丢 磅 荔 
应 用 中 的 确保 真实 性 和 保护 消息 完整 性 的 要 求 应 得 到 识别 ,适当 的 控制 措施 
也 应 得 到 识别 并 实施 。 





输出 数据 确认 莅 丢 傅 芒 
从 应 用 系统 输出 的 数据 应 加 以 确认 ,以 确保 对 所 存储 信息 的 处 理 是 正确 的 且 
适 于 环境 的 。 











A.12.3 密码 控制 

局 奈 :通过 密码 方法 保护 信息 的 保密 性 .真实 性 或 完整 性 。 

A.12.3.1| 使 用 密码 控制 的 策略 其 币 桩 项 

应 开发 和 实施 使 用 密码 控制 措施 来 保护 信息 的 策略 。 














A. 12. 3.2 | 密 钥 管理 起 币 椅 芳 
应 有 密 钥 管理 以 支持 组 织 使 用 密码 技术 。 








A.12.4 系统 文件 的 安全 
局 奈 :确保 系统 文件 的 安全 。 





A.12.4.1| 运行 软件 的 控制 戎 御 蔡 散 
应 有 规程 来 控制 在 运行 系统 上 安装 软件 。 








A.12.4.21 系统 测试 数据 的 保护 莽 丢 戎 艺 
测试 数据 应 认真 地 加 以 选择 .保护 和 控制 。 
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表 A. 1 ( 续 ) 


其 先天 散 
应 限制 访问 程序 源 代码 。 





A.12.5 


开发 和 支持 过 程 中 的 安全 


局 :维护 应 用 系统 软件 和 信息 的 安全 。 





A.12.5.1 


变更 控制 规程 


期 币 撩 戎 
应 使 用 正式 的 变更 控制 规程 来 控制 变更 的 实施 。 





操作 系统 变更 后 应 用 的 
技术 评审 


巷 鹿 入 项 
当 操作 系统 发 生变 更 时 ,应 对 业务 的 关键 应 用 进行 评审 和 测试 , 以 确保 对 组 
织 的 运行 和 安全 没有 负面 影响 。 





软件 包 变 更 的 限制 


其 秽 舌 项 
应 对 软件 包 的 修改 进行 劝阻 ,只 限于 必要 的 变更 , 且 对 所 有 的 变更 加 以 严格 
控制 。 





荐 午 正 和 
应 防止 信息 泄露 的 可 能 性 。 





A.12.6 


月 碌 :降低 


外 包 软 件 开发 


技术 脆弱 性 管理 





技术 脆弱 性 的 控制 





A.13 信息 安全 事件 管理 





矢 先 蔡 艺 
组 织 应 管理 和 监视 外 包 软 件 的 开发 。 


利用 公布 的 技术 脆弱 性 导致 的 风险 。 


基 丢 珍 散 
应 及 时 得 到 现 用 信息 系统 技术 脆弱 性 的 信息 ,评价 组 织 对 这 些 脆弱 性 的 暴 韦 
程度 ,并 采取 适当 的 措施 来 处 理 相 关 的 风险 。 






























































A.13.1 报告 信息 安全 事态 和 弱点 
局 菇 :确保 与 信息 系统 有 关 的 信息 安全 事态 和 弱点 能 够 以 某 种 方式 传达 ,以 便 及 时 采取 纠正 措施 。 
A.13.1.1| 报告 信息 安全 事态 棒 币 大 戎 
信息 安全 事态 应 尽 可 能 快 地 通过 适当 的 管理 渠道 进行 报告 。 
A.13.1.2| 报告 安全 弱点 其 币 磋 矿 
应 要 求 信息 系统 和 服务 的 所 有 雇员 、 承 包 方 人 员 和 第 三 方 人 员 记 录 并 报告 他 
们 观察 到 的 或 怀疑 的 任何 系统 或 服务 的 安全 弱点 。 
A.13.2 信息 安全 事件 和 改进 的 管理 
月 本 :确保 采用 一 致 各 有效 的 方法 对 信息 安全 事件 进行 管理 。 
A. 13.2.1| 职责 和 规程 花 秆 还 范 
应 建立 管理 职责 和 规程 ,以 确保 快速 ` 有效 和 有 序 地 响应 信息 安全 事件 。 
A.13.2.2| 对 信息 安全 事件 的 总 结 ”| 期 身 枚 项 
应 有 一 套 机 制 量化 和 监视 信息 安全 事件 的 类 型 .数量 和 代价 。 
A. 13.2.3| 证据 的 收集 其 先 述 庆 
当 一 个 信息 安全 事件 涉及 到 诉讼 (民事 的 或 刑事 的 ), 需 要 进一步 对 个 人 或 组 织 
行 起 诉 时 ,应 收集 ,保留 和 呈 弟 证据 ,以 使 其 符合 相关 管辖 区 域 对 证 据 的 要 求 。 
A.14 业务 连续 性 管理 
A.14.1 业务 连续 性 管理 的 信息 安全 方面 
和 月 杯 :防止 业务 活动 中 断 , 保 护 关 键 业 务 过 程 免 受 信息 系统 重大 失误 或 灾难 的 影响 ,并 确保 它们 的 及 时 恢复 。 
A.14.1.1| 在 业务 连续 性 管理 过 程 | 枞 身 检 敲 
中 包含 信息 安全 应 为 贯穿 于 组 织 的 业务 连续 性 开发 和 保持 一 个 管理 过 程 ,以 解决 组 织 的 业务 











连续 性 所 需 的 信息 安全 要 求 。 
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业务 连续 性 和 风险 评估 


| 


表 A. 1 ( 续 ) 
期 秽 往 访 
应 识别 能 引起 业务 过 程 中 断 的 事态 ,连同 这 种 中 断 发 生 的 概率 和 影响 ,以 及 
它们 对 信息 安全 所 造成 的 后 果 。 





制定 和 实施 包含 信息 安 
全 的 连续 性 计划 








业务 连续 性 计划 框架 


戎 岗 青 范 

应 制定 和 实施 计划 来 保持 或 恢复 运行 ,以 在 关键 业务 过 程 中 断 或 失败 后 能 
在 要 求 的 水 平和 时 间 内 确保 信息 的 可 用 性 。 

大 秽 华 芒 

应 保持 一 个 唯一 的 业务 连续 性 计划 框架 ,以 确保 所 有 计划 是 一 致 的 ,能 够 协 
调 地 解决 信息 安全 要 求 , 并 为 测试 和 维护 确定 优先 级 。 








A.14.1.5 


测试 .维护 和 再 评估 业务 
连续 性 计划 








套 秽 蒂 范 
业务 连续 性 计划 应 定期 测试 和 更 新 ,以 确保 其 及 时 性 和 有 效 性 。 





A.15 符合 性 





A.15.1 


符合 法 律 要 求 


月 本 :避免 违反 任何 法 律 、 法 令 、 法 规 或 合同 义务 以 及 任何 安全 要 求 。 





A.15.1.1 


可 用 法 律 的 识别 


知识 产权 (IPR) 


保护 组 织 的 记录 


数据 保护 和 个 人 信息 的 
隐私 
防止 滥用 信息 处 理 设施 


荐 丢 青 落 

对 每 一 个 信息 系统 和 组 织 而 言 , 所 有 相关 的 法 令 .法规 和 合同 要 求 , 以 及 为 满 
是 这 些 要 求 组 织 所 采用 的 方法 ,应 加 以 明确 地 定义 ,形成 文件 并 保持 更 新 。 
其 币 杖 项 

应 实施 适当 的 规程 ,以 确保 在 使 用 具有 知识 产权 的 材料 和 具有 所 有 权 的 软件 
产品 时 ,符合 法 律 .法 规 和 合同 的 要 求 。 

戎 役 蔡 芒 

应 防止 重要 的 记录 遗失 毁坏 和 伪造 ,以 满足 法 令 法规、 合同 和 业务 的 要 求 。 
其 币 述 大 

应 依照 相关 的 法 律 、 法 规 和 合同 条 款 的 要 求 ,确保 数据 保护 和 隐私 。 

巷 先 蔡 艺 

应 禁止 用 户 使 用 信息 处 理 设 施用 于 未 授权 的 目的 。 





密码 控制 措施 的 规则 


其 币 杖 项 
使 用 密码 控制 措施 应 遵从 相关 的 协议 、 法 律 和 法 规 。 





A.15.2 


符合 安全 策略 和 标准 以 及 技术 符合 性 


局 装 :确保 系统 符合 组 织 的 安全 策略 及 标准 。 





A.15.2.1 


合 安 全 策略 和 标准 





A.15.2.2 


技术 符合 性 核查 


类 和 饮 榜 施 
管理 人 员 应 确保 在 其 职责 范围 内 的 所 有 安全 规程 被 正确 地 执行 ,以 确保 符合 
安全 策略 及 标准 。 











A.15.3 


情节 :将 信 


信息 系统 审计 考虑 


套 逢 蔡 艺 
信息 系统 应 被 定期 核查 是 否 符合 安全 实施 标准 。 





息 系统 审计 过 程 的 有 效 性 最 大 化 , 王 扰 最 小 化 。 





A.15.3.1 


信息 系统 审计 控制 措施 


套 秽 蔡 范 
涉及 对 运行 系统 核查 的 审计 要 求 和 活动 ,应 谨慎 地 加 以 规划 并 取得 批准 , 以 
便 最 小 化 造成 业务 过 程 中 斯 的 风险 。 
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信息 系统 审计 工具 的 
保护 








戎 项 位 范 
对 于 信息 系统 审计 工具 的 访问 应 加 以 保护 ,以 防止 任何 可 能 的 滥用 或 损害 。 
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附 录 B 
《资料 性 附录 ) 
OECD 原则 和 本 标准 


在 OECD 信息 系统 和 网 络 安全 指南 中 给 出 的 原则 适用 于 治理 信息 系统 和 网 络 安全 的 所 有 方针 和 
操作 层 。 本 标准 提供 信息 安全 管理 体系 框架 ,通过 使 用 PDCA 模型 以 及 第 4 章 、 第 5 章 、 第 6 章 和 第 8 
章 所 述 的 过 程 , 来 实现 的 某 些 OECD 原则 ,如 表 B. 1 所 示 。 

表 B. 1 OECD 原则 和 了 PDCA 模型 


意识 本 活动 是 实施 (Do) 阶 段 的 一 部 分 ( 见 4.2.2 和 5. 2.2)。 
参与 者 应 知悉 信息 系统 和 网 络 的 安全 需求 ,并 知悉 在 
提高 信息 安全 方面 ,他 们 能 够 做 些 什么 。 

责任 本 活动 是 实施 (Do) 阶段 的 一 部 分 ( 见 4. 2.2 和 5.1)。 
所 有 参与 者 对 信息 系统 和 网 络 的 安全 都 有 责任 。 

响应 这 是 检查 (Check) 阶 段 的 监视 活动 ( 见 4. 2.3 和 第 6 章 到 
参与 者 对 安全 事故 应 以 及 时 的 和 合作 的 方式 进行 预 | 7. 3) 和 处 置 (Acb 阶段 的 响应 活动 ( 见 4.2.4 和 8.1 到 8.3) 
防 .检测 和 响应 。 的 一 部 分 。 这 也 涵盖 于 规划 (Plan) 和 检查 (Check) 阶 段 中 

的 某 些 方面 。 














风险 评估 本 活动 是 规划 (Plan? 阶段 的 一 部 分 ( 见 4. 2. 1)》, 而 风险 
参与 者 应 进行 风险 评估 。 再 评估 是 检查 (Check) 阶 段 的 一 部 分 ( 见 4.2.3 和 第 6 章 到 


7.3)。 


安全 设计 与 实施 一 旦 风险 评估 完 成 ,就 要 为 风险 的 处 理 选择 控制 措施 作 

参与 者 应 把 安全 作为 信息 系统 和 网 络 的 基本 要 素 。 为 规划 (Plan) 阶段 的 一 部 分 ( 见 4. 2. 1)。 然 后 ,在 实施 
(Do) 阶 段 ( 见 4.2.2 和 5.2) 包 含 这 些 控制 措施 的 实施 和 运 
行使 用 。 








安全 管理 风险 的 管理 是 一 种 包括 预防 、 检 测 与 响应 事故 、 日 常 维 
参与 者 应 采用 综合 的 方法 进行 安全 管理 。 护 .评审 和 审核 的 过 程 。 所 有 这 些 方面 包含 于 规划 (Plan) 、 
实施 (Do) .检查 (Check) 和 处 置 C(Act) 阶段。 


再 评估 信息 安全 的 再 评估 是 检查 (Check) 阶段 的 一 部 分 ( 见 

参与 者 应 评审 和 再 次 评估 信息 系统 和 网 络 的 安全 ,并 | 4. 2.3 和 第 6 章 到 7. 3) 。 这 里 ,应 经 常 进行 评审 以 检查 信 

适当 改进 安全 策略 .实践 、 措 施 和 程序 。 息 安全 管理 体系 的 有 效 性 。 改 进 安 全 是 处 置 (Actb 阶段 的 
一 部 分 ( 见 4.2.4 和 8.1 到 8.3)。 
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附 录 C 
《资料 性 附录 ) 


GB/T 19001 一 2000, GB/T 24001 一 2004 和 本 标准 之 间 的 对 照 


表 C.1 显示 了 GB/T 19001 一 2000.GB/T 24001 一 2004 和 本 标准 之 间 的 对 应 关系 。 
表 C.1 GB/T 19001 一 2000.GB/T 24001 一 2004 和 本 标准 之 间 的 对 应 关系 


0 引言 
0.1 总 则 
0.2 过 程 方法 


0.3 与 其 他 管理 体系 的 兼容 性 


GB/T 19001 一 2000 


0 引言 

0.1 总 则 

0.2 过 程 方法 

0.3 与 GB/T 19004 的 关系 
0.4 与 其 他 管理 体系 的 相 容 性 


GB/T 24001 一 2004 





1 范围 
1.1 总 则 
1.2 应 用 


1 范围 
1.1 总 则 
1.2 应 用 





2 规范 性 引用 文件 
3 术语 和 定义 


4 信息 安全 管理 体系 
4.1 总 要 求 

4.2 建立 和 管理 ISMS 
4.2.1 建立 ISMS 

4.2.2 实施 和 运行 ISMS 
4.2.3 监视 和 评审 ISMS 


4.2.4 保持 各 改进 ISMS 
4.3 文件 要 求 
4.3.1 总 则 


4. 3.2 文件 控制 
4. 3.3 记录 控制 


2 引用 标准 
3 ”术语 和 定义 


4 质量 管理 体系 
4.1 总 要 求 


-2.3 过 程 的 监视 和 测量 
.2.4 产品 的 监视 和 测量 


-2 文件 要 求 
.2.1 总 则 

.2.2 质量 手册 
.2.3 文件 控制 
.2.4 记录 控制 


2 规范 性 引用 文件 
3 术语 和 定义 


4.4 实施 和 运行 
4.5.1 监视 和 测量 


4.5.2 合 规 性 评价 


4.4.5 文件 控制 
4.5.4 记录 控制 





5 管理 职责 
5.1 管理 承诺 


管理 职责 

管理 承诺 

以 顾客 为 关注 焦点 
质量 方针 

策划 
职责 、 权 限 和 沟通 


4.2 环境 方针 
4.3 策划 





5.2 资源 管理 
5.2.1 资源 提供 


5.2.2 培训 、 意 识 和 能 力 


资源 管理 
资源 提供 
人 力 资源 
-2.2 能 力 、 意 识 和 培训 
基础 设施 
工作 环境 





4.4.2 ” 能力、 培训 和 意识 








6 ISMS 内 部 审核 
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.2.2 内 部 审核 











7 ”ISMS 的 管理 评审 
7.1 总 则 

7.2 评审 输入 

7.3 评审 输出 
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表 C. 1 ( 续 ) 
GB/T 19001 一 2000 
.6 管理 评审 
.6.1 总 则 


.6.2 评审 输入 
.6.3 评审 和 输出 


GB/T 24001 一 2004 


4.6 管理 评审 





ISMS 改进 
-1 持续 改进 
-2 纠正 措施 
.3 预防 措施 





8 
8 
8 
8 


测量 .分析 和 改进 
.5.1 持续 改进 
.5.2 纠正 措施 
.5.3 预防 措施 


4.5.3 不 合格 ,纠正 和 预防 措施 





附录 A 控制 目标 和 控制 措施 
附录 B OECD 原则 和 本 标准 
附录 C GB/T 19001 一 2000、 
GB/T 24001 一 2004 和 本 标准 之 间 
的 对 照 





附录 A GB/T 19001 一 2000 与 
GB/T 24001 一 1996 之 间 的 对 照 





附录 A 本 标准 使 用 指南 


附录 B GB/T 24001 和 GB/T 19001 
之 间 的 联系 
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